Это команда editcap, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
editcap - редактировать и / или переводить формат файлов захвата
СИНТАКСИС
колпачок [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [компенсировать:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] вводить Outfile [ пакет №[-пакет №] ...]
колпачок -d | -D | -w [ -v ] [ -I ]
вводить Outfile
колпачок [ -V ]
ОПИСАНИЕ
Редактировать это программа, которая считывает некоторые или все захваченные пакеты из вводить,
при желании конвертирует их различными способами и записывает полученные пакеты в захват
Outfile (или Outfiles).
По умолчанию он читает все пакеты из вводить и записывает их в Outfile в pcap
формат файла.
Необязательный список номеров пакетов может быть указан в конце команды; индивидуальный пакет
числа, разделенные пробелом, и / или диапазоны номеров пакетов могут быть указаны как
Начало-конец, ссылаясь на все пакеты из Начало в конец. По умолчанию выбранные пакеты
с этими числами будет не быть записанным в файл захвата. Если -r указан флаг,
выбор всего пакета отменяется; в этом случае только выбранные пакеты будут
записывается в файл захвата.
Редактировать также может использоваться для удаления повторяющихся пакетов. Несколько разных вариантов (-d, -D
и -w) используются для управления окном пакета или относительным временным окном, которое будет использоваться для
двойное сравнение.
Редактировать может использоваться для присвоения строк комментариев номерам кадров.
Редактировать может обнаруживать, читать и записывать те же файлы захвата, которые поддерживаются
Wireshark. Входному файлу не требуется конкретное расширение имени файла; формат файла и
дополнительное сжатие gzip будет автоматически обнаружено. Ближе к началу
ОПИСАНИЕ раздела Wireshark(1) или
подробное описание
путь Wireshark обрабатывает это таким же образом Редактировать справляется с этим.
Редактировать может записать файл в нескольких форматах вывода. В -F флаг может использоваться для указания
формат записи файла захвата; колпачок -F предоставляет список доступных
форматы вывода.
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-а
Для указанного номера кадра присвойте заданную строку комментария. Может повторяться для
несколько кадров. Цитаты следует использовать со строками комментариев, которые включают пробелы.
-А
Сохраняет только пакеты, отметка времени которых совпадает с временем начала или позже. Время дано
в следующем формате ГГГГ-ММ-ДД ЧЧ: ММ: СС
-B
Сохраняет только пакеты, отметка времени которых предшествует времени остановки. Время указано в
следующий формат ГГГГ-ММ-ДД ЧЧ: ММ: СС
-c
Разделяет вывод пакета по разным файлам на основе одинакового количества пакетов с
максимум каждый. Каждый выходной файл будет создан с суффиксом
-nnnnn, начиная с 00000. Если указанное количество пакетов записано в
выходной файл открывается следующий выходной файл. По умолчанию используется один выход.
.
-C [смещение:]
Устанавливает длину измельчения, которая будет использоваться при записи пакетных данных. Каждый пакет измельчается
байты данных. Положительные значения прерываются в начале пакета, а отрицательные.
значения прерываются в конце пакета.
Если необязательное смещение предшествует , то обрезанные байты будут смещены
от этого значения. Положительные смещения идут от начала пакета, а отрицательные.
смещения от конца пакета.
Это полезно для измельчения заголовков для декапсуляции всего захвата, удаления
заголовки туннелирования, или в редких случаях, когда преобразование между двумя форматами файлов
оставляет несколько случайных байтов в конце каждого пакета. Другое применение - удаление vlan
теги.
ПРИМЕЧАНИЕ. Этот параметр можно использовать более одного раза, что позволяет эффективно измельчать байты.
от двух разных областей пакета за один проход при условии, что вы укажете
как минимум одно значение длины измельчения как положительное значение и как минимум одно как отрицательное значение.
Все положительные значения длины измельчения складываются вместе, как и все отрицательные значения длины измельчения.
-d Пытаться удалить повторяющиеся пакеты. Длина и MD5-хэш текущего пакета.
сравниваются с предыдущими четырьмя (4) пакетами. Если совпадение найдено, текущий
пакет пропущен. Эта опция эквивалентна использованию опции -D 5.
-D
Попытки удалить повторяющиеся пакеты. Длина и MD5-хэш текущего пакета.
сравниваются с предыдущими - 1 пакет. Если совпадение найдено,
текущий пакет пропускается.
Использование опции -D 0 в сочетании с -v опция полезна тем, что каждый пакет
Номер пакета, Len и MD5 Hash будут распечатаны в стандартном формате. Этот подробный вывод
(в частности, строки хэша MD5) могут быть полезны в сценариях для выявления повторяющихся
пакеты в файлах трассировки.
В указывается как целое число от 0 до 1000000 (включительно).
ПРИМЕЧАНИЕ. Указание большого значения с большими файлами трассировки могут привести к очень
длительное время обработки для колпачок.
-E
Устанавливает вероятность случайного изменения байтов в выходном файле. Редактировать использования
эта вероятность (от 0.0 до 1.0 включительно) применить ошибки к каждому байту данных в
файл. Например, вероятность 0.02 означает, что каждый байт с вероятностью 2%
ошибка.
Эта опция предназначена для использования с анализаторами протоколов нечеткого тестирования.
-F
Устанавливает формат выходного файла захвата. Редактировать может записать файл в
несколько форматов, колпачок -F предоставляет список доступных форматов вывода. В
по умолчанию ПКАП формат.
-h Выводит версию, параметры и завершает работу.
-я
Разделяет вывод пакета по разным файлам на основе единых временных интервалов, используя
максимальный интервал каждый. Каждый выходной файл будет создан с
суффикс -nnnnn, начиная с 00000. Если пакеты за указанный интервал времени
записывается в выходной файл, открывается следующий выходной файл. По умолчанию используется
один выходной файл.
-Я
Игнорировать указанное количество байтов в начале кадра во время хеширования MD5
вычисление Полезно для удаления дублированных пакетов, принятых на нескольких маршрутизаторах (разные
MAC-адреса, например) например -I 26 в случае Ether / IP / будет игнорировать эфир(14) и
Заголовок IP (20-4 (src ip) - 4 (dst ip)). Значение по умолчанию - 0.
-L Отрегулируйте исходную длину кадра соответствующим образом при нарезке и / или привязке (в
дополнение к захваченной длине, которая всегда корректируется независимо от того, -L is
указано или нет). Смотрите также -C <чоплен> и -s <снаплен>.
-о
При использовании вместе с -E пропускать несколько байтов с начала пакета из
меняется. Таким образом, некоторые заголовки не меняются, а фаззер больше
сосредоточился на меньшей части пакета. Сохранение части пакета неизменной
срабатывает диссектор, что делает фаззинг более точным.
-r Отменить выбор пакета. Вызывает пакеты, для которых указаны номера пакетов
в командной строке для записи в выходной файл захвата вместо удаления
их.
-s
Устанавливает длину снимка, который будет использоваться при записи данных. Если -s флаг используется для
укажите длину снимка, пакеты во входном файле с большим количеством захваченных данных, чем
указанная длина снимка будет иметь только объем данных, указанный в снимке
длина, записанная в выходной файл.
Это может быть полезно, если программа, которая должна читать выходной файл, не может обрабатывать
пакеты больше определенного размера (например, версии snoop в Solaris
2.5.1 и Solaris 2.6, похоже, отклоняют пакеты Ethernet, размер которых превышает стандартный
Ethernet MTU, что делает их неспособными обрабатывать захваты Gigabit Ethernet, если jumbo
пакеты использовались).
-S
Время настраивает выбранные пакеты, чтобы обеспечить строгий хронологический порядок.
В значение представляет собой относительные секунды, указанные как
[-]секунды[.дробный секунды].
Поскольку файл захвата обрабатывается, абсолютное время каждого пакета возможно доводят до
быть равным или больше абсолютной отметки времени предыдущего пакета в зависимости от
ценность.
Если значение 0 или больше (например, 0.000001), тогда только пакеты
с меткой времени меньше, чем у предыдущего пакета. Скорректированная отметка времени
значение будет установлено равным значению отметки времени предыдущего пакета плюс
ценность ценность. А значение 0
отрегулирует минимальное количество значений отметки времени, необходимое для обеспечения того, чтобы
полученный файл захвата находится в строгом хронологическом порядке.
Если значение указано как отрицательное значение, тогда метка времени
значения Найти пакеты будут скорректированы так, чтобы они соответствовали значению временной метки
предыдущий пакет плюс абсолютное значение строгая корректировка времени ценность. А
значение -0 приведет к тому, что все пакеты будут иметь метку времени
значение первого пакета.
Эта функция полезна, когда в файле трассировки есть случайный пакет с отрицательным
дельта-время относительно предыдущего пакета.
-t
Устанавливает настройку времени для использования с выбранными пакетами. Если -t флаг используется для
укажите корректировку времени, указанная корректировка будет применена ко всем выбранным
пакеты в файле захвата. Корректировка указана как [-]секунды[.дробный
секунды]. Например, -t 3600 увеличивает временную метку выбранных пакетов на один час
в то время как -t -0.5 уменьшает отметку времени для выбранных пакетов на полсекунды.
Эта функция полезна при синхронизации дампов, собранных на разных машинах, где
разница во времени между двумя машинами известна или может быть оценена.
-T
Устанавливает тип инкапсуляции пакета выходного файла захвата. Если -T флаг используется
чтобы указать тип инкапсуляции, тип инкапсуляции выходного файла захвата
будет принудительно к указанному типу. колпачок -T предоставляет список доступных
типы. Тип по умолчанию - это тот, который соответствует типу инкапсуляции ввода.
файл захвата.
Примечание: это просто заставляет тип инкапсуляции выходного файла быть указанным
тип; заголовки пакетов не будут переведены из инкапсуляции
тип входного файла захвата для указанного типа инкапсуляции (например, это
не будет преобразовывать захват Ethernet в захват FDDI, если захват Ethernet
читать и '-T фдди'указано). Если вам нужно удалить / добавить заголовки из / в пакет,
тебе понадобится od(1) /text2pcap(1).
-v Причины колпачок для вывода подробных сообщений во время работы.
использование -v с переключателями дедупликации -d, -D or -w вызовет все хеши MD5
быть напечатанным независимо от того, пропущен пакет или нет.
-V Распечатать версию и выйти.
-w
Попытки удалить повторяющиеся пакеты. Сравнивается время прибытия текущего пакета.
до 1000000 предыдущих пакетов. Если относительное время прибытия пакета Меньше
чем or равный в в предыдущего пакета и длины пакета и
MD5-хэш текущего пакета совпадает с хешем пакета, который нужно пропустить. Дубликат
сравнительный тест останавливается, когда относительное время прибытия текущего пакета больше, чем
.
В указывается как секунды[.дробный секунды].
Компонент [.fractional seconds] может быть указан с точностью до девяти (9) десятичных знаков.
(миллиардные доли секунды), но большинство типичных файлов трассировки имеют разрешение до шести (6)
десятичные разряды (миллионные доли секунды).
ПРИМЕЧАНИЕ. Указание большого значения с большими файлами трассировки могут привести к
очень долгое время обработки для колпачок.
Обратите внимание -w опция предполагает, что пакеты расположены в хронологическом порядке. Если
пакеты НЕ в хронологическом порядке, тогда -w возможность удаления дубликатов не может
выявить некоторые дубликаты.
ПРИМЕРЫ
Чтобы увидеть более подробное описание опций, используйте:
колпачок -h
Чтобы сжать файл захвата, усекая пакеты до 64 байтов и записывая их как Sun
использование файла snoop:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Чтобы удалить пакет 1000 из файла захвата, используйте:
editcap захват.pcap без 1000.pcap 1000
Чтобы ограничить файл захвата пакетами от 200 до 750 (включительно), используйте:
editcap -r capture.pcap small.pcap 200-750
Чтобы получить все пакеты с номера 1-500 (включительно), используйте:
editcap -r захват.pcap first500.pcap 1-500
or
editcap захват.pcap first500.pcap 501-9999999
Чтобы исключить пакеты 1, 5, 10-20 и 30-40 из нового файла, используйте:
editcap capture.pcap exclude.pcap 1 5 10–20 30–40
Чтобы выбрать только пакеты 1, 5, 10-20 и 30-40 для использования нового файла:
editcap -r capture.pcap select.pcap 1 5 10–20 30–40
Чтобы удалить повторяющиеся пакеты, обнаруженные в предыдущих четырех кадрах, используйте:
editcap -d Capture.pcap dedup.pcap
Чтобы удалить повторяющиеся пакеты, обнаруженные в предыдущих 100 кадрах, используйте:
editcap -D 101 Capture.pcap dedup.pcap
Чтобы удалить повторяющиеся пакеты равный в or Меньше чем 1/10 секунды:
editcap -w 0.1 Capture.pcap dedup.pcap
Чтобы отобразить хэш MD5 для всех пакетов (и НЕ генерировать какой-либо реальный выходной файл):
editcap -v -D 0 capture.pcap / dev / null
или в системах Windows
editcap -v -D 0 Capture.pcap NUL
Чтобы переместить метки времени каждого пакета вперед на 3.0827 секунды:
editcap -t 3.0827 capture.pcap corrected.pcap
Чтобы все временные метки были в строгом хронологическом порядке:
editcap -S 0 capture.pcap adjust.pcap
Чтобы ввести 5% случайных ошибок в файл захвата, используйте:
editcap -E 0.05
Чтобы удалить теги vlan из всех пакетов в файле захвата, инкапсулированном в Ethernet, используйте:
editcap -L -C 12: 4 capture_vlan.pcap capture_no_vlan.pcap
Чтобы вырезать 10-байтовые и 20-байтовые области из следующего 75-байтового пакета за один
pass, используйте любой из 8 возможных методов, представленных ниже:
<--------------------------- 75 --------------------- ------->
+ --- + ------- + ----------- + --------------- + --------- ---------- +
| 5 | 10 | 15 | 20 | 25 |
+ --- + ------- + ----------- + --------------- + --------- ---------- +
1) editcap -C 5:10 -C -25: -20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50: -20 capture.pcap chopped.pcap
3) editcap -C -70: 10 -C -25: -20 capture.pcap chopped.pcap
4) editcap -C -70: 10 -C 50: -20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60: -10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15: -10 capture.pcap chopped.pcap
7) editcap -C -45: 20 -C -60: -10 capture.pcap chopped.pcap
8) editcap -C -45: 20 -C 15: -10 capture.pcap chopped.pcap
Чтобы добавить строки комментариев к первым 2 кадрам ввода, используйте:
editcap -a "1: 1-й кадр" -a 2: Второй файл capture.pcap capture-comments.pcap
Используйте editcap онлайн с помощью сервисов onworks.net
